0

我们有一个使用 AAD B2B 协作来邀请用户的应用程序。这些用户在我们的 AAD 中创建为来宾用户。这一切都很好:

  • 拥有 AAD/Office 365 的用户可以使用其正常凭据登录。
  • 没有 AAD/Office 365 的用户在邀请兑换过程中创建他们的帐户,并可以使用它来登录。Microsoft 将这些帐户存储在外部,为我们隐藏 AAD。

情况:

一个组织使用我们的应用程序。该组织还没有自己的 AAD/Office 365。我们使用他们的电子邮件地址邀请该组织的一些员工加入我们的 AAD。他们在我们的 AAD 中获得来宾帐户。一段时间后,该组织为其现有域名获得了自己的 AAD/Office 365。此域名之前在邀请兑换过程中的电子邮件地址中使用。

组织的 AAD 管理员创建 AAD,并立即看到现有的用户帐户:所有被邀请的帐户都显示在 AAD 中。他在创建新的 AAD 时没有预料到这一点,他也不知道它们来自哪里。对我们来说,隐藏的 AAD 似乎对 AAD 管理员可见。AAD 管理员可能决定删除这些帐户,以从空 AAD 开始。结果,员工无法再在我们的应用程序中登录。

我们的应用程序使用 Microsoft Graph API 来邀请用户。有没有办法以某种方式标记外部隐藏 AAD 中的用户,以明确帐户来自何处?喜欢在现有领域提及我们的组织/应用程序?

所以要明确一点:我们不想在来宾帐户上设置属性。我们想要设置 AAD 管理员在创建 AAD 时看到的用户帐户的属性。我们要明确他不能删除这个用户,因为它是由应用程序 X 创建的。

4

1 回答 1

1

不,这是 Azure AD 的一项功能。如果域所有者选择稍后创建一个,则可以选择接管隐藏的 Azure AD。他们控制域,从而控制用户,这取决于他们。

当然,如果您使用 Gmail 帐户创建 AAD 来宾用户,他们实际上并不会被添加到巨大的隐藏 Google Azure AD 中。如果 AAD 认为该帐户是社交帐户,则当前他们会为该用户透明地创建个人 Microsoft 帐户(因此用户始终可以控制他们的帐户)。

因此,如果您使用他们的工作电子邮件邀请用户,您必须期望他们的域所有者能够控制他们用户的帐户。

AFAIK,没有可以设置的属性。

于 2018-06-12T09:17:39.373 回答